Un año exacto para la entreda en vigor del reglamento europeo de protección de datos: hacia un marco de ciberseguridad

Gemalto nos invitó a hablar de protección de datos en la era digital todo un reto

Gemalto nos invitó a hablar de protección de datos en la era digital todo un reto

Como multinacional líder en seguridad digital, Gemalto está abanderando una importante campaña de difusión y preparación para la entrada en vigor del RGPD (Reglamento General de Protección de Datos) que prevalecerá en Europa dentro de exactamente un año. Y ese argumento, la necesidad de adaptación a la nueva norma comunitaria, es el que ha propiciado la intervención de BinauraMonlex en el Executive Day 2017 de la compañía, celebrado esta semana en Madrid.

Xavier Ferretjans y Abraham Parrona – el responsable de nuevas tecnologías y seguridad de la información y el experto en protección de datos y responsable de desarrollo de negocio de nuestra división jurídico-tecnológica, respectivamente – fueron los encargados de la ponencia “Hacia un marco de ciberseguridad: el RGPD y sus novedades” presentada durante la jornada. En la exposición se abordó el panorama jurídico que se refiere a una materia tan sensible con esa protección de datos y la legitimación de su tratamiento que, a partir del 25 de mayo de 2018, afectará a las relaciones contractuales, los intereses vitales, la obligación legal para el responsable del tratamiento de esos datos, el interés público y, de forma expresa, el concepto de “consentimiento inequívoco” por parte quien aporta sus datos con alguna finalidad.

Se destacaron también los derechos ARCO de acceso, rectificación, cancelación y oposición que contemplarán en todo el territorio de la UE, en palabras de Ferretjans, “el derecho de supresión, a la portabilidad de los datos y a la limitación temporal de los mismos”. El reglamento implicará también pasar de un modo pasivo a otro proactivo (responsabilidad activa, de hecho) en lo que al análisis de riesgos se refiere. “La privacidad – explicó Ferretjans – será por diseño: debe ser incorporada por defecto en el momento del tratamiento de datos. Para las brechas de seguridad se exige la notificación en un máximo de 72 horas, la valoración del riesgo de quiebra y el denominado estado de alerta”.

Xavier Ferretjans explicando las novedades del RGPD ante los expertos en seguridad digital

Xavier Ferretjans explicando las novedades del RGPD ante los expertos en seguridad digital reunidos por Gemalto

En las cuestiones que se refieren al marco de ciberseguridad que plantea la normativa comunitaria, el artículo 32 se extiende sobre la seguridad del tratamiento de los datos “con medidas organizativas (roles y responsabilidades, seguridad en los RRHH o gestión de incidencias, entre otras) y tecnológicas”. Entre estas últimas, los expertos de BinauraMonlex destacan aspectos relacionados con el control de accesos y autentificación, la monitorización, la seguridad perimetral y los test de intrusión. Pero sobre todo “la necesidad de backups, cifrado y seguridad móvil en todo lo relativo a los datos que manejan nuestras empresas y organismos”.

Para acabar, y no menos importante, esta vez sí se prevén sanciones que pueden llegar a ser muy importantes: multas de 10.000.000€ máximo (o 2% del volumen de negocio anual global del ejercicio anterior) y de hasta 20.000.000€ máximo (o el 4% del volumen de negocio anual, el doble que en el caso anterior también en este porcentaje).

El selfie volando era imposible, así que ahí va el de antes de la caída libre

El selfie volando era imposible, así que ahí va el de antes de la caída libre

Confiamos en que la aportación fuera interesante para los asistentes a una sesión de trabajo que concluyó con una experiencia inolvidable: un espectacular vuelo en caída libre en el mayor simulador de viento de Europa, instalado en el MadridFly.

Si te ha gustado este artículo ¡compártelo!. Con tu difusión generamos cultura de ciberseguridad.

2018 está más cerca de lo que piensas…¿qué sabes del RGPD?

Jornada BinauraMonlex con hoteles en la FEHM

Jornada BinauraMonlex con hoteles en la FEHM

Es verdad que hasta mayo de 2018 no será de aplicación pero el nuevo reglamento europeo de protección de datos (RGPD) llega con tantas novedades que no estaría de más empezar a digerirlo. El impacto de la legislación comunitaria, que comenzó a gestarse en Bruselas en 2009 y ha llevado cuatro años de trabajo, prevé abordar el nuevo escenario en el que nos han metido las nuevas tecnologías y el interminable binomio generación – tratamiento de datos. Un dato: la anterior directiva en materia de protección de datos es de 1995 y hace 21 años no había redes sociales, los smartphones no existían y las App ni siquiera se imaginaban. En otras palabras, Internet aún no formaba parte de nuestras vidas…

El nuevo reglamento prevé propiciar un sistema de mayor protección en el ámbito de la Unión Europea y será aplicable directamente (no deberá someterse a un proceso de transposición) en todos los Estados miembro. Por resumir mucho (muchísimo) regulará derechos como el de la portabilidad (para trasladar los datos a otro proveedor de servicios),  al olvido (con la rectificación o supresión de datos personales), o a la limitación de tratamiento, fortaleciendo la supervisión y la cooperación de las autoridades europeas entre sí. También recoge, por ejemplo, el derecho a ser informado si los datos personales han sido pirateados, a un lenguaje claro y comprensible sobre las cláusulas de privacidad, o la necesidad de consentimiento claro y afirmativo de la persona concernida al tratamiento de sus datos personales.

Así que ahora toca difundir y asentar definitivamente una cultura de protección de datos que a los ciudadanos nos permita ser más conscientes de cómo ejercer nuestros derechos, y a quienes los tratan la oportunidad de abordar el fomento de la privacidad como una ventaja competitiva. En esa línea, y con el sector hotelero como principal destinatario, BinauraMonlex acaba de celebrar una jornada informativa sobre el tema en la Federación Empresarial Hotelera de Mallorca. Básicamente porque el ámbito turístico es una de las especialidades de nuestra firma jurídico-tecnológica y de consultoría y porque – en concreto los hoteles – son una de las gallinas de los huevos de oro digitales en lo que a generación y procesamiento de información personal se refiere.

El 'consentimiento' del cliente: más claro que nunca

El ‘consentimiento’ del cliente: más claro que nunca

En la charla de nuestro experto en protección de datos y privacidad, además de responsable del área de nuevas tecnologías, se analizaron las principales novedades de la norma y sus implicaciones específicas entre los hoteles y sus clientes. Xavier Ferretjans incidió especialmente en el consentimiento, que “ya no estará permitido que sea tácito o implícito, sino decididamente explícito y concreto. Las empresas tendrán que comunicarse de forma extremadamente clara y simple con los usuarios, por lo que no solo tendrán que revisar y rehacer el conjunto de cláusulas, sino saber que ese consentimiento podrá ser revocable en cualquier momento”.

Ferretjans también se ocupó de la responsabilidad activa del responsable del tratamiento de datos y de la protección de estos desde el diseño y por defecto, que deberá incluirse en los nuevos proyectos. Además, se abordaron las evaluaciones de impacto: el RGPD impondrá la obligación de realizarlas cuando el elevado volumen de datos tratado (o su especial sensibilidad) suponga riesgos para los derechos y libertades de las personas físicas.

Una cuestión por la que se interesaron especialmente los asistentes fue por el Delegado de Protección de Datos (DPO) en la empresa, el hotel en este caso, ya que se trata de una figura clave en el reglamento. Es quien “tendrá que identificar los riesgos y buscar las soluciones. Podrá ser interno o externo, pero – matizó Ferretjans – deberá disponer de total independencia y de cuantas herramientas necesite en cada momento”.

Mención especial mereció la obligatoriedad de notificar los fallos a la Agencia Española de Protección de Datos en un plazo de 72 días, y de contar con un sistema efectivo para comunicárselo a los afectados si esos fallos conllevaran algún riesgo para sus derechos. También el PIA (Privacy  Impact Assesment) o estudio de riesgos, que se plantea como una tarea esencial que habrá que tener prevista para todos los nuevos tratamientos con alto riesgo en protección de datos.

Conviene saber que este nuevo reglamento lleva incorporado el concepto de ‘obligatoriedad’ y contempla sanciones muy elevadas por incumplimiento: hasta 10 millones de euros las multas por violaciones graves (o el 2% de la facturación mundial del sancionado). Serán 20millones de euros (4% de la facturación total) en el caso de las muy graves.

Vamos, que el tema no es menor ni poco complejo. ¿A que ahora no te parece que el plazo dado hasta 2018 sea tan largo?. Te recomendamos que no lo dejes para el último momento y, si podemos ayudarte, que contactes con nosotros para prepararte.

¿Dónde estamos?  Avd. Alexandre Rosselló nº4, 3º 07002 Palma de Mallorca. O por teléfono: 971 22 73 99. Y por email: info@binaura.es

El reto en la seguridad de las tarjetas de crédito

El impacto de la informática en el lenguaje es evidente, hasta el punto de que el verbo segurizar pueda aplicarse a todo lo que tiene que ver con las tarjetas de crédito y los pagos realizados con ellas, a entornos informáticos y ordenadores…incluso se da por bueno (que no mejor) hablar de ‘securizar’ a partir de las voces inglesas to secure o security. En cualquier caso ambos verbos, que se han incorporado a nuestro vocabulario y deberían llegar también a nuestras prácticas comunes, están ya perfectamente vinculados a la necesidad de proteger nuestros datos y privacidad. El fenómeno afecta especialmente al mundo del turismo, en plena tormenta provocada por esa exigencia de dar seguridad a las tarjetas de crédito.

Las empresas de primer orden ya han tomado decisiones relevantes acerca del cumplimiento de la norma PCI DSS, que actualmente se encuentra en su versión 3.2. Ya tenemos claro que todas las entidades (hoteles, comercios, proveedores de servicios, “channel managers”, etc.) que participen en el proceso, almacenamiento y transmisión de datos de tarjetas de pago se encuentran dentro del alcance de la norma. Ahora bien, ¿qué hacemos a partir de ahora?. Nos lo explica Xavier Ferretjans, responsable del área de Nuevas Tecnologías de BinauraMonlex…

Xavier Ferretjans

La primera pregunta que asalta a las empresas es sobre la obligatoriedad de la norma, al pertenecer a un consorcio creado por las grandes compañías de tarjetas de pago. Se prevén multas a organizaciones y empresas que no cumplan con la PCI DSS, si se encuentran dentro de su alcance, que pueden llegar hasta los 300.000€. Las sanciones pueden derivarse de una fuga intencionada – o no – de datos de tarjetas de pago, o de cualquier otro incidente relacionado con la falta de seguridad de dichos datos.

Así pues, las opciones que tienen actualmente muchas empresas son dos; iniciar el cumplimiento de la norma en la organización, y su posterior certificación, o bien externalizar el cumplimiento a pasarelas de pago certificadas. Evidentemente las dos opciones tienen sus ventajas e inconvenientes.

Para empezar, el cumplimiento del estándar supone un gran esfuerzo para las empresas, especialmente si su alcance tecnológico es grande. Incluye acciones sobre la seguridad de las redes y sistemas, protección de los datos de las tarjetas de pago, hacer pruebas regulares de intrusión, etc… Asimismo, los costes pueden resultar elevados en función nuevamente del alcance. La gran ventaja de su implantación, especialmente si se alinea con la estrategia de seguridad de negocio, es implantar un marco de seguridad potente y efectivo en la organización.

Por último, existe la posibilidad de evitar la certificación en PCI DSS, externalizando el alcance en otras empresas que cumplen la norma. Los típicos ejemplos se encuentran en las pasarelas de pago con entidades bancarias o proveedores de servicios especializados en ello. Los costes se reducen drásticamente, pero por el contrario una parte importante del negocio queda en manos de un tercero, lo cual requiere un control legal y de cumplimiento muy preciso.

Así que segurizar o securizar todo lo que tiene que ver con las tarjetas de pago y proteger los datos que contienen es posible. Se trata, como con el verbo, de elegir el método más adecuado. Y en BinauraMonlex podemos sugerirte y ofrecerte el mejor para tu negocio.

B2B Travel Group confía en WhiteAura de BinauraMonlex

 

B2B Travel Group confía en WhiteAura de BinauraMonlex para la gestión de  su ciberseguridad

ciberriesgo-hacker

El aumento exponencial de los ciberataques y la sofisticación de las técnicas de intrusión, hacen del ciberriesgo el gran reto del siglo XXI para empresas y particulares. Conscientes de las amenazas y oportunidades que implica su gestión, BinauraMonlex ha elaborado un producto altamente especializado que contempla la identificación de objetivos y la protección, además de la correcta administración tanto de los riesgos como de los ataques.

El objetivo final de WhiteAura, que es como se denomina el servicio, no es otro que implantar un modelo preventivo ante los cibertaques, permitiendo más eficacia a la hora de reaccionar ante uno de ellos. Y este producto, basado en organización, protección, detección, respuesta y recuperación, es en el que ha confiado B2B Travel Group a la hora de encargarnos la implantación de una estrategia de ciberseguridad para la empresa. Tal y como explica el responsable del área de Nuevas Tecnologías de la consultora jurídico-tecnológica, Xavier Ferretjans “la estrategia por la que se ha optado comprende varias fases -que se dilatarán a lo largo de varios meses-  y que permitirán analizar los principales riesgos para la plataforma tecnológica de B2B Travel Group, además de cómo mitigarlos. Todo ello desembocará en medidas preventivas y reactivas ante ciberataques…y lógicamente todo ello redundará en una mayor calidad del servicio para sus clientes”.

Se trata, en definitiva, de una consultoría estratégica de seguridad que, en caso de ser necesario, permitirá la adopción de medidas tecnológicas concretas para minimizar los riesgos de ciberseguridad. Ferretjans confirma que “esta plataforma de viajes online tiene unos niveles muy exigentes de disponibilidad y confidencialidad, por lo que la implementación de esas medidas de seguridad es un proyecto crítico para su negocio”. El CEO de B2B Travel Group, Antonio Peña, confirma este extremo apuntando que todo esfuerzo real que se haga en beneficio del cliente, como en este caso, siempre es bien valorado por éste, es una cuestión de compromiso con él. Pero lo cierto es que siempre hemos procurado tener un elevado nivel de seguridad en el grupo, máxime en estos momentos, cuando estamos dando un paso más ambicioso con Al Tayyar Travel (una de las mayores empresas de viajes y turismo en Arabia Saudí, que cotiza en Bolsa y tiene sucursales en diferentes países) y tenemos claro que la ciberseguridad es un aspecto básico en la estrategia IT del grupo”.

Y es que entre las principales ventajas de esta actuación no se encuentra sólo la capacidad de elevar la confianza de los clientes: también repercute positivamente en la de los proveedores y partes interesadas. Ferretjans asegura que “el número creciente de ciberataques hace que las plataformas tecnológicas expuestas a Internet deban tomar precauciones y medidas severas para preservar su negocio. WhiteAura permite ser más preventivo y, lo más importante, acortar los tiempos de respuesta ante este tipo de ataques en los que estamos especializados”. Nuestro experto en ciberseguridad añade que “la globalización del mercado en que está inmerso B2B Travel Group precisa de certificaciones, medidas y garantías suficientes para poder alcanzar a los clientes más exigentes. Y por ello esa estrategia es imprescindible en el sentido del compromiso que apuntaba el CEO de la plataforma antes, con sus clientes, pero también con los proveedores que confían sus datos al uso de la misma”.

Antonio Peña coincide en que, efectivamente, “el aumento de interconexión de la red y de amenazas desde cualquier parte del mundo, aconsejan claramente una apuesta por maximizar las medidas de seguridad. Hemos actuado preventivamente y no de forma reactiva por un incidente”.

Le preguntamos al CEO del mayorista online cómo se ha reaccionado en la empresa ante la apuesta por unos productos y servicios que, pese a las cifras que avalan la necesidad de disponer de ellos, siguen sin ser comunes en la mayoría de organizaciones del entorno turístico. Peña es contundente: “los primeros convencidos en la activación de este servicio son nuestros socios”. Y aunque la compañía, líder en oferta de alojamiento y servicios turísticos exclusivamente para agencias de viajes, muestra prudencia a la hora de felicitarse por una iniciativa que les coloca a la cabeza en cuanto a ciberseguridad, desde BinauraMonlex sí podemos confirmar que su acción es un ejemplo de la cibercultura que va calando para estar menos expuestos y ser más seguros.